ISO 9001 2015 il rischio della introduzione dei rischi
ISO 9001
Il 15 9 2015 è stato pubblicato il nuovo rilascio (orribile italianizzazione del un termine inglese release) della ISO 9001 la madre di tutte le norme.
Dopo la release finta, quella del 2008 in cui i cambiamenti furono davvero pochi e poco significativi, arriva adesso con la nuova Iso 9001:2015 una versione nuova nella quale i cambiamenti annunciati sono tanti e … molto rilevanti.
Leggendola appare chiaro che la novità più rilevante è quella di parlare in modo più esplicito di rischi.
La madre di tutte le norme, la Iso9001, infatti è adesso più simile, anche nella struttura dei paragrafi, alle altre norme più orientati ai rischi.
Per esempio le norme della serie Iso14000 sull’ambiente, la famosa OHSAS 18001 citata perfino dalla legge 81, il testo unico sulla sicurezza e la salute dei lavoratori, e la, meno conosciuta ma non per questo meno importante, ISO27001, sulla sicurezza delle informazioni.
Una norma quest’ultima che in genere si considera tipica del mondo IT, che per definizione vive e gestisce informazioni, ma che dovrebbe riguardare tutte le organizzazioni che ormai vivono in un mondo dove l’informazione è una risorsa più difficile da tutelare, quasi impossibile se non si ha una visione di insieme e ci si accontenta solo di piccoli rimedi.
Salvo poi piangere lacrime amare quando avviene un attacco hacker come quello dello scorso 13 Maggio.
Mario Cislaghi
Ricordo come fosse ieri, le parole che il Guru, Mario Cislaghi, con il quale ebbi la fortuna di fare il mio percorso di formazione sulle norme della Iso 9001, diceva a proposito della differenza tra la Iso 9001 e le altre norme.
Con parole molto semplici, associava la Iso9001 al mondo del Project Management mentre le altre le associava al mondo del Risk Management.
Una differenza che pare sia eliminata tout court con la nuova norma Iso 9001:2015.
Questo per facilitare le organizzazioni, specie quelle grandi, all’unificazione dei sistemi di qualità con quelli di sicurezza e/o di ambiente e/o di Sicurezza della informazioni e/o simili.
Non si dovrà più ricorrere a quelle arcane tabelle che si trovano alle fine delle norme, ma basterà semplicemente a ragionare nei loro processi primari e secondari con le categorie della analisi del rischio.
L’ottica del rischio
Naturalmente non è proprio così, il mondo della progettazione rimane e rimarrà tal quale, magari quando farà un riesame dei requisiti lo farà parlando in modo più rischievole, parlando per esempio del rischio di non rispettare i requisiti del cliente o i tempi di fine delle varie fasi del progetto, ma la sostanza delle cose non cambia.
Il problema è che il mondo della gestione dei rischi è per molti un argomento nuovo, per lo più incontrato nel mondo della safety e risolto con montagne di carta, diagrammi di Pareto e grafici vari, spesso frutto di un sapiente copia e incolla di consulenti forse più preoccupati di dimostrare di adempiere gli stringenti requisiti di legge che di diffondere una cultura della qualità nei cui capitoli c’è da sempre una sapiente gestione dei rischi.
Consiglio pratico per l’analisi dei rischi
Una testimonianza/consiglio che mi sono permesso di dare a delle persone con cui ho condiviso uno di questi corsi di aggiornamento,
i cui volti ho visto un po’ preoccupati di fronte all’eccellente presentazione (le cui slide allego in fondo) dell’amico e relatore Roberto Randazzo,
con il quale tempo fa ho condiviso la stesura di un quaderno dell’Aicqci proprio sul tema dei rischi in ambito IT,
è quella di avere, rispetto ai rischi, specie all’inizio, un approccio più qualitatese e meno contabile/assicurativo.
Se si cercasse di calcolare l’impatto di un rischio in termini contabili, di essere precisissimi nelle valutazioni, non se ne uscirebbe,
ci si impantanerebbe in conti che spesso non siamo in grado di fare e che rischiano di portarci fuori strada,
meglio essere un po’ spannometrici ma cominciare ad affrontare con calma, serenità e metodo la problematica dei rischi della qualità..
L’importante è innescare un circolo virtuoso, di crederci e farlo sul serio, piano piano, la valutazione del rischio,
dell’impatto, della probabilità che esso si verifichi, etc. verrà da se
e sarà più precisa man mano che abbiamo calibrato gli strumenti che noi stessi ci siamo dati.
Il consiglio, nasce dal fatto che una decina di anni fa ho avuto la fortuna di realizzare un sistema integrato di gestione della qualità e della sicurezza delle informazioni in ambiente IT,
e dove quello che si sta facendo oggi la nuova norma Iso 9001:2015 lo si sentiva come esigenza.
Opportunità
A proposito di consigli mi piace riportare quello sentito più volte dal mio amico Sergio Bini e che mi sento di condividere:
prendere questa nuova versione della norma Iso9001 come una opportunità per migliorare i nostri sistemi di gestione della qualità.
Renderli più snelli, efficaci, concreti …
Che è poi sarebbe lo spirito della revisione in cui, se ho ben capito, si cerca di dare più importanza ai fatti, che alla carta.
In fondo la qualità cartacea, quella orientata al bollino,
è solo un costo uno dei cosiddetti ‘costi della non qualità’ che danno alla qualità
e al suo mondo una immagine completamente falsa di quella che è veramente.
Azioni preventive
Un ultima parola sulla scomparsa della norma delle cosiddette azioni preventive,
giustificata anche dal fatto che gestendo i rischi si fa una continua attività di prevenzione.
Non è una cosa essenziale, ma la distinzione tra azione correttiva e preventiva, secondo il mio modesto parere ed esperienza, non è irrilevante.
L’azione correttiva si può fare quando si riesce ad individuare la causa radice dell’errore, in modo certo,
ed è tanto più efficace quanto con maggiore precisione abbiamo individuato la causa.
Cause potenziali
Ma ci sono tanti casi in cui non si riesce ad individuare la causa radice.
Per mancanza per esempio delle registrazioni nel processo o per scarsezza di informazioni che provengono dall’esterno (come nel caso di certi reclami).
In tal caso si agisce sulle cause potenziali che possono aver generato la non conformità, con azioni preventive che non definirei propriamente correttive, ma alla fine della fiera se vogliamo chiamare anche queste ‘correttive’ il discorso poco cambia.
L’importante che si migliori anche se non si migliora in modo continuativo, 😉
Che la nostra merce ( o prodotto che dir si voglia) e i servizi che offriamo soddisfino, delizino i nostri clienti e …
Aumentino i nostri guadagni, perché la qualità può servire anche a questo …
Claudio Pace Blogger Fiuggi 9 Giugno 2015 su Iso 9001 Rivista il 4 6 2017